Оказалось, что Flamer подслушивал разговоры, используя Bluetooth

Symantec раскрывает информацию о потенциале использования технологий Bluetooth червём Flamer. Разработчики Flamer получают возможность идентифицировать мобильное устройство пользователя на расстоянии до 1 мили и даже отслеживать местонахождение жертвы и прослушивать разговоры.

Из всех обнаруженных до сих пор угроз для Windows-платформ, Flamer – единственная, столь широко использующая технологи Bluetooth вредоносная программа, что является ещё одним веским подтверждением её создания в качестве шпионского инструмента несанкционированного сбора информации.

Функционал, использующий технологии Bluetooth, реализован в модуле “BeetleJuice”. Его запуск производится в соответствии со значениями конфигурационных параметров, заданными атакующим. При запуске сначала производится поиск всех доступных Bluetooth-устройств. При обнаружении устройства производится запрос его статуса и записываются параметры устройства, включая идентификатор, предположительно для отправки атакующему. Далее он настраивает себя в качестве Bluetooth-маяка. Это означает, что заражённый Flamer компьютер всегда будет виден при поиске Bluetooth-устройств. В дополнение к самозасвечиванию W32.Flamer кодирует сведения о заражённом компьютере и затем сохраняет их в специальном поле “description”.

Постоянный мониторинг Bluetooth-устройств в зоне досягаемости заражённого червём Flamer компьютера, позволяет фиксировать устройства, обнаруженные в течение дня. Через некоторое время разработчики получают список обнаруженных устройств – преимущественно мобильных телефонов друзей и знакомых жертвы. И на основе этих данных он создаёт схему взаимосвязей жертвы с другими людьми и определяет её социальные связи и профессиональный круг общения.

Кроме того, в функционале Flamer есть возможность идентификации местонахождения жертвы. Bluetooth – это радиоволны. Измеряя уровень радиосигнала, можно определить приближается или удаляется жертва от конкретного заражённого устройства. Использование режима Bluetooth-маяка и информации о заражённом устройстве позволяет определить физическое расположение заражённого компьютера или устройства жертвы.